Hai ricevuto una mail dove ti chiedono i dati bancari, i dati della tua carta di credito o una password? Parliamo di mail apparentemente normali, che arrivano dalla banca, dall’Agenzia delle Entrate, dalle Poste o da un Social Network, per fare alcuni esempi. Oppure hai ricevuto un SMS con un link dal tuo istituto di credito con la richiesta di aggiornare i dati? Non fidarti! Potresti essere vittima di una truffa: un attacco di phishing. Vediamo cos’è il phishing, come riconoscerlo e come evitarlo.

Cos’è il phishing

Il phishing è un tipo di truffa online in cui un malintenzionato invia messaggi ingannevoli a delle vittime – noi, tu, chiunque – per convincerle a rivelare dati personali come il numero della carta di credito, le password di accesso all’home banking o al Cassetto Fiscale e così via, passandosi per un ente o un’azienda affidabile. Può fingersi l’Agenzia delle Entrate, l’istituto bancario in cui hai (o avevi) il conto corrente, le Poste, Facebook, Twitter, insomma un’organizzazione di cui ti fidi.
Perché lo fa? Per rubarti l’identità.
Si finge te e poi compra prodotti e servizi a nome tuo, sottoscrive contratti, agisce spacciandosi per te, a tua completa insaputa. Fino a che non ti trovi con il conto corrente a zero, con la carta di credito prosciugata, con l’account Facebook clonato e altre situazioni poco simpatiche.
Come fa? Di solito agisce in 3 modi:

1) Invio massiccio di mail fasulle

Prepara una mail fasulla, ma che sembra assolutamente autentica a quella dell’organizzazione o dell’azienda – ha lo stesso logo ed un testo simile a quello usato normalmente da quell’organizzazione – e poi la spedisce in maniera massiccia ad una serie di indirizzi mail.
Nella mail chiede al destinatario di fornire i suoi dati personali per poter accedere ad un servizio.
Per esempio, chiede di aggiornare, convalidare o confermare le informazioni contenute nell’account del servizio perché c’è stato un problema di registrazione o di altro tipo.
La mail contiene un link e la vittima viene reindirizzata su un sito web fasullo molto simile a quello istituzionale del mittente, dove inserisce i suoi dati e consegna inconsapevolmente ad un malvivente la sua identità.

2) Invio di SMS con un link per accedere ad un sito web fasullo

Di solito la truffa avviene attraverso la posta elettronica, ma in alcuni casi il malintenzionato usa gli SMS. Anche questi sono molto simili a quelli ufficiali dell’ente o dell’organizzazione e invitano la persona a cliccare su un link per accedere ad un sito web (fasullo) in cui lasciare i propri dati.

3) Attraverso un virus informatico

È un sistema ancora più subdolo. Il malvivente invia un allegato nella mail, di solito una fattura falsa, una multa, un avviso di consegna pacchi – il formato è comunissimo: può essere un file Excel, un documento .doc o un PDF – ed è così che avviene l’infezione.
Il virus può andare dal Financial malware al Trojan banking, cioè virus che rubano i dati finanziari, fin al Virus keylogging che si attiva quando, sulla tastiera, vengono inseriti user e password, così il malvivente può accedere alla posta elettronica o all’account dell’e-commerce.

Come riconoscere un tentativo di phishing e come evitare di cadere nel raggiro?

Se ti arriva un messaggio o una mail in cui ti chiedono di confermare, inviare, modificare informazioni personali, non fidarti. Meglio approfondire. Meglio fermarsi un attimo e telefonare al servizio clienti dell’ente, prima di aprire l’allegato o cliccare sul link.
I tentativi di phishing fanno leva sulla paura. Fanno pressioni perché tu perda la testa per spingerti a rivelare i tuoi dati personali senza pensarci troppo.
Sono messaggi simili a questi:
“Se i dati personali non saranno comunicati entro la tal data, il suo account verrà bloccato”
“Se vuole proteggersi dal phishing, clicchi su questo link ed inserisca login e password”
Presi dall’ansia è facile cadere nella trappola.
E’ importante avere Security Awareness…. cercare di essere consapevoli e cercare di seguire alcune regole prima di agire.
Ecco alcuni consigli per cercare di capire se la mail o il messaggio che hai ricevuto è un tentativo di phishing:
  • Controlla l’URL del link (l’URL è la stringa di testo del link, per esempio: https://nome.sito.it/)
Gli attacchi di phishing usano link molto simili agli URL dei siti originali. Chi ha dimestichezza con il web di solito li riconosce facilmente, ma chi è meno esperto potrebbe scambiarli per i link ufficiali. Per esempio, possono includere il nome dell’azienda insieme ad altre parole: www.nomebancaexampel.it o www.nomebanca.it.personal.login o www.nomebanca.it-persona.login invece dell’ULR autentico www.nomebanca.it
In alcuni casi il link porta al sito web originale, ma poi l’URL della pagina è diverso. Quindi fai attenzione anche all’URL della pagina su cui atterri.
  • Fai attenzione ai link che iniziano con l’indirizzo IP
L’indirizzo IP è un’etichetta numerica che identifica univocamente un dispositivo collegato a una rete informatica. Quindi se il link inizia con una successione di numeri, fai attenzione e ricorda che le banche e gli enti non usano mai link di questo tipo.
  • Non compilare mai i campi all’interno di una mail
Se i campi da compilare sono nella mail fermati subito! Nessuna banca o istituzione ti chiederà mail di fare una cosa del genere.
  • Non aprire gli allegati di mail che non hai richiesto o che non conosci
Meglio un giro di telefonate in più che subire il raggiro. Chiama il servizio clienti dell’ente o dell’organizzazione e chiedi se stanno inviando messaggi o mail come quelli che hai ricevuto oppure rivolgiti alla Polizia Postale.
  • Non rivelare a nessuno le tue password e cambiale spesso
È una regola di buon senso, ma poco applicata. Invece è indispensabile per limitare i furti di identità. In azienda è una misura importante per ridurre il rischio di avere un Data Breach, cioè una violazione dei dati personali.
  • Usa un antivirus e un software anti-phishing (e tienilo aggiornato)
Gli attacchi di phishing sono sempre più sofisticati, quindi è importante usare dei software che possono contrastare queste frodi e tenerli aggiornati.
Il modo migliore per tenere al sicuro i tuoi dati è essere consapevole di quello che stai facendo.
Non solo le aziende, gli enti e le organizzazioni, anche i singoli cittadini devono essere consapevoli, responsabili e competenti.
Agire con accountability. Perché la protezione dei dati personali è una tutela che riguarda sia chi li raccoglie e li tratta, sia chi li affida ad altri.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: Privacylab BLOG – Di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL